web.xml配置詳解續

  作了很長時間的j2EE開發，應用比較多的就是web.xml，可是仍是不能徹底掌握web.xml的配置，由於用的時候就從網上查一下，沒有作過記錄，也沒有總結過，因此本次把web.xml配置記錄下來，方便之後查閱

一、定義頭和根元素 
部署描述符文件就像全部XML文件同樣，必須以一個XML頭開始。這個頭聲明可使用的XML版本並給出文

件的字符編碼。
DOCYTPE聲明必須當即出如今此頭以後。這個聲明告訴服務器適用的servlet規範的版本（如2.2或2.3）並

指定管理此文件其他部份內容的語法的DTD(Document Type Definition，文檔類型定義)。
全部部署描述符文件的頂層（根）元素爲web-app。請注意，XML元素不像HTML，他們是大小寫敏感的。因

此，web-App和WEB-APP都是不合法的，web-app必須用小寫。
XML 元素不只是大小寫敏感的，並且它們還對出如今其餘元素中的次序敏感。例如，XML頭必須是文件中

的第一項，DOCTYPE聲明必須是第二項，而web- app元素必須是第三項。在web-app元素內，元素的次序也

很重要。服務器不必定強制要求這種次序，但它們容許（實際上有些服務器就是這樣作的）徹底 拒絕執

行含有次序不正確的元素的Web應用。這表示使用非標準元素次序的web.xml文件是不可移植的。

Java代碼  

1. <?xml version="1.0" encoding="UTF-8"?>   
2. <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd">  

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd">

 二、元素詳解

    下面的列表給出了全部可直接出如今web-app元素內的合法元素所必需的次序。例如，此列表說明servlet元素必須出如今全部servlet-mapping元素以前。請注意，全部這些元素都是可選的。所以，能夠省略掉某一元素，但不能把它放於不正確的位置。

Java代碼  

1. icon icon元素指出IDE和GUI工具用來表示Web應用的一個和兩個圖像文件的位置。   
2. display-name display-name元素提供GUI工具可能會用來標記這個特定的Web應用的一個名稱。   
3. description description元素給出與此有關的說明性文本。   
4. context-param context-param元素聲明應用範圍內的初始化參數。   
5. filter 過濾器元素將一個名字與一個實現javax.servlet.Filter接口的類相關聯。   
6. filter-mapping 一旦命名了一個過濾器，就要利用filter-mapping元素把它與一個或多個servlet或JSP頁面相關聯。   
7. listener servlet API的版本2.3增長了對事件監聽程序的支持，事件監聽程序在創建、修改和刪除會話或servlet環境時獲得通知。Listener元素指出事件監聽程序類。   
8. servlet 在向servlet或JSP頁面制定初始化參數或定製URL時，必須首先命名servlet或JSP頁面。Servlet元素就是用來完成此項任務的。   
9. servlet-mapping 服務器通常爲servlet提供一個缺省的URL：<A href="http://host/webAppPrefix/servlet/ServletName">http://host/webAppPrefix/servlet/ServletName</A>。可是，經常會更改這個URL，以便servlet能夠訪問初始化參數或更容易地處理相對URL。在更改缺省URL時，使用servlet-mapping元素。   
10. session-config 若是某個會話在必定時間內未被訪問，服務器能夠拋棄它以節省內存。可經過使用HttpSession的setMaxInactiveInterval方法 明確設置單個會話對象的超時值，或者可利用session-config元素制定缺省超時值。   
11. mime-mapping 若是Web應用具備想到特殊的文件，但願能保證給他們分配特定的MIME類型，則mime-mapping元素提供這種保證。   
12. welcom-file-list welcome-file-list元素指示服務器在收到引用一個目錄名而不是文件名的URL時，使用哪一個文件。   
13. error-page error-page元素使得在返回特定HTTP狀態代碼時，或者特定類型的異常被拋出時，可以制定將要顯示的頁面。   
14. taglib taglib元素對標記庫描述符文件（Tag Libraryu Descriptor file）指定別名。此功能使你可以更改TLD文件的位置，而不用編輯使用這些文件的JSP頁面。   
15. resource-env-ref resource-env-ref元素聲明與資源相關的一個管理對象。   
16. resource-ref resource-ref元素聲明一個資源工廠使用的外部資源。   
17. security-constraint security-constraint元素制定應該保護的URL。它與login-config元素聯合使用   
18. login-config 用login-config元素來指定服務器應該怎樣給試圖訪問受保護頁面的用戶受權。它與sercurity-constraint元素聯合使用。   
19. security-role security-role元素給出安全角色的一個列表，這些角色將出如今servlet元素內的security-role-ref元素的role-name子元素中。分別地聲明角色可以使高級IDE處理安全信息更爲容易。   
20. env-entry env-entry元素聲明Web應用的環境項。   
21. ejb-ref ejb-ref元素聲明一個EJB的主目錄的引用。   
22. l ejb-local-ref ejb-local-ref元素聲明一個EJB的本地主目錄的應用。  

icon icon元素指出IDE和GUI工具用來表示Web應用的一個和兩個圖像文件的位置。
display-name display-name元素提供GUI工具可能會用來標記這個特定的Web應用的一個名稱。
description description元素給出與此有關的說明性文本。
context-param context-param元素聲明應用範圍內的初始化參數。
filter 過濾器元素將一個名字與一個實現javax.servlet.Filter接口的類相關聯。
filter-mapping 一旦命名了一個過濾器，就要利用filter-mapping元素把它與一個或多個servlet或JSP頁面相關聯。
listener servlet API的版本2.3增長了對事件監聽程序的支持，事件監聽程序在創建、修改和刪除會話或servlet環境時獲得通知。Listener元素指出事件監聽程序類。
servlet 在向servlet或JSP頁面制定初始化參數或定製URL時，必須首先命名servlet或JSP頁面。Servlet元素就是用來完成此項任務的。
servlet-mapping 服務器通常爲servlet提供一個缺省的URL：http://host/webAppPrefix/servlet/ServletName。可是，經常會更改這個URL，以便servlet能夠訪問初始化參數或更容易地處理相對URL。在更改缺省URL時，使用servlet-mapping元素。
session-config 若是某個會話在必定時間內未被訪問，服務器能夠拋棄它以節省內存。可經過使用HttpSession的setMaxInactiveInterval方法 明確設置單個會話對象的超時值，或者可利用session-config元素制定缺省超時值。
mime-mapping 若是Web應用具備想到特殊的文件，但願能保證給他們分配特定的MIME類型，則mime-mapping元素提供這種保證。
welcom-file-list welcome-file-list元素指示服務器在收到引用一個目錄名而不是文件名的URL時，使用哪一個文件。
error-page error-page元素使得在返回特定HTTP狀態代碼時，或者特定類型的異常被拋出時，可以制定將要顯示的頁面。
taglib taglib元素對標記庫描述符文件（Tag Libraryu Descriptor file）指定別名。此功能使你可以更改TLD文件的位置，而不用編輯使用這些文件的JSP頁面。
resource-env-ref resource-env-ref元素聲明與資源相關的一個管理對象。
resource-ref resource-ref元素聲明一個資源工廠使用的外部資源。
security-constraint security-constraint元素制定應該保護的URL。它與login-config元素聯合使用
login-config 用login-config元素來指定服務器應該怎樣給試圖訪問受保護頁面的用戶受權。它與sercurity-constraint元素聯合使用。
security-role security-role元素給出安全角色的一個列表，這些角色將出如今servlet元素內的security-role-ref元素的role-name子元素中。分別地聲明角色可以使高級IDE處理安全信息更爲容易。
env-entry env-entry元素聲明Web應用的環境項。
ejb-ref ejb-ref元素聲明一個EJB的主目錄的引用。
l ejb-local-ref ejb-local-ref元素聲明一個EJB的本地主目錄的應用。

 三、sevlet配置

Java代碼  

1. <servlet>   
2. <servlet-name>Test</servlet-name>   
3. <servlet-class>moreservlets.TestServlet</servlet-class>   
4. </servlet>   

<servlet>
<servlet-name>Test</servlet-name>
<servlet-class>moreservlets.TestServlet</servlet-class>
</servlet> 

   這 表示位於WEB-INF/classes/moreservlets/TestServlet的servlet已經獲得了註冊名Test。給 servlet一個名稱具備兩個主要的含義。首先，初始化參數、定製的URL模式以及其餘定製經過此註冊名而不是類名引用此servlet。其次,可在 URL而不是類名中使用此名稱。所以，利用剛纔給出的定義，URL http://host/webAppPrefix/servlet/Test 可用於 http://host/webAppPrefix/servlet/moreservlets.TestServlet 的場所。

Java代碼  

1. <servlet-mapping>   
2. <servlet-name>Test</servlet-name>   
3. <url-pattern>/UrlTest</url-pattern>   
4. </servlet-mapping>  

<servlet-mapping>
<servlet-name>Test</servlet-name>
<url-pattern>/UrlTest</url-pattern>
</servlet-mapping>

 注意：元素出現地次序不是隨意的。特別是，須要把全部servlet元素放在全部 servlet-mapping元素以前。

5 初始化和預裝載servlet與JSP頁面
這裏討論控制servlet和JSP頁面的啓動行爲的方法。特別是，說明了怎樣分配初始化參數以及怎樣更改服務器生存期中裝載servlet和JSP頁面的時刻。
     利 用init-param元素向servlet提供初始化參數，init-param元素具備param-name和param-value子元素。例如， 在下面的例子中，若是initServlet servlet是利用它的註冊名（InitTest）訪問的，它將可以從其方法中調用getServletConfig(). getInitParameter("param1")得到"Value 1"，調用getServletConfig().getInitParameter("param2")得到"2"。

Java代碼  

1. <servlet>   
2. <servlet-name>InitTest</servlet-name>   
3. <servlet-class>moreservlets.InitServlet</servlet-class>   
4. <init-param>   
5. <param-name>param1</param-name>   
6. <param-value>value1</param-value>   
7. </init-param>   
8. <init-param>   
9. <param-name>param2</param-name>   
10. <param-value>2</param-value>   
11. </init-param>   
12. </servlet>  

<servlet>
<servlet-name>InitTest</servlet-name>
<servlet-class>moreservlets.InitServlet</servlet-class>
<init-param>
<param-name>param1</param-name>
<param-value>value1</param-value>
</init-param>
<init-param>
<param-name>param2</param-name>
<param-value>2</param-value>
</init-param>
</servlet>

 在涉及初始化參數時，有幾點須要注意：
   l  返回值。GetInitParameter的返回值老是一個String
   l JSP中的初始化。JSP頁面使用jspInit而不是init。JSP頁面還須要使用jsp-file元素代替servlet-class。

   l 缺省URL。初始化參數只在經過它們的註冊名或與它們註冊名相關的定製URL模式訪問Servlet時可使用。

Java代碼  

1. 程序清單5-7 InitServlet.java   
2. package moreservlets;   
3.   
4. import java.io.*;   
5. import javax.servlet.*;   
6. import javax.servlet.http.*;   
7.   
8. /** Simple servlet used to illustrate servlet  
9. * initialization parameters.  
10. * <P>  
11. * Taken from More Servlets and JavaServer Pages  
12. * from Prentice Hall and Sun Microsystems Press,  
13. * http://www.moreservlets.com/.  
14. * © 2002 Marty Hall; may be freely used or adapted.  
15. */  
16.   
17. public class InitServlet extends HttpServlet {   
18. private String firstName, emailAddress;   
19.   
20. public void init() {   
21. ServletConfig config = getServletConfig();   
22. firstName = config.getInitParameter("firstName");   
23. emailAddress = config.getInitParameter("emailAddress");   
24. }   
25.   
26. public void doGet(HttpServletRequest request,   
27. HttpServletResponse response)   
28. throws ServletException, IOException {   
29. response.setContentType("text/html");   
30. PrintWriter out = response.getWriter();   
31. String uri = request.getRequestURI();   
32. out.println(ServletUtilities.headWithTitle("Init Servlet") +   
33. "<BODY BGCOLOR=\"#FDF5E6\">\n" +   
34. "<H2>Init Parameters:</H2>\n" +   
35. "<UL>\n" +   
36. "<LI>First name: " + firstName + "\n" +   
37. "<LI>Email address: " + emailAddress + "\n" +   
38. "</UL>\n" +    
39. "</BODY></HTML>");   
40. }   
41. }  

程序清單5-7 InitServlet.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;

/** Simple servlet used to illustrate servlet
* initialization parameters.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class InitServlet extends HttpServlet {
private String firstName, emailAddress;

public void init() {
ServletConfig config = getServletConfig();
firstName = config.getInitParameter("firstName");
emailAddress = config.getInitParameter("emailAddress");
}

public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html");
PrintWriter out = response.getWriter();
String uri = request.getRequestURI();
out.println(ServletUtilities.headWithTitle("Init Servlet") +
"<BODY BGCOLOR=\"#FDF5E6\">\n" +
"<H2>Init Parameters:</H2>\n" +
"<UL>\n" +
"<LI>First name: " + firstName + "\n" +
"<LI>Email address: " + emailAddress + "\n" +
"</UL>\n" + 
"</BODY></HTML>");
}
}

 5.2 分配JSP初始化參數
給JSP頁面提供初始化參數在三個方面不一樣於給servlet提供初始化參數。
1）使用jsp-file而不是servlet-class。所以，WEB-INF/web.xml文件的servlet元素以下所示：

Java代碼  

1. <servlet>   
2. <servlet-name>PageName</servlet-name>   
3. <jsp-file>/RealPage.jsp</jsp-file>   
4. <init-param>   
5. <param-name>...</param-name>   
6. <param-value>...</param-value>   
7. </init-param>   
8. ...   
9. </servlet>  

<servlet>
<servlet-name>PageName</servlet-name>
<jsp-file>/RealPage.jsp</jsp-file>
<init-param>
<param-name>...</param-name>
<param-value>...</param-value>
</init-param>
...
</servlet>

 2) 幾乎老是分配一個明確的URL模式。對servlet，通常相應地使用以http://host/webAppPrefix/servlet/ 開始的缺省URL。只需記住，使用註冊名而不是原名稱便可。這對於JSP頁面在技術上也是合法的。例如，在上面給出的例子中，可用URL http://host/webAppPrefix/servlet/PageName 訪問RealPage.jsp的對初始化參數具備訪問權的版本。但在用於JSP頁面時，許多用戶彷佛不喜歡應用常規的servlet的URL。此外，若是 JSP頁面位於服務器爲其提供了目錄清單的目錄中（如，一個既沒有index.html也沒有index.jsp文件的目錄），則用戶可能會鏈接到此 JSP頁面，單擊它，從而意外地激活未初始化的頁面。所以，好的辦法是使用url-pattern（5.3節）將JSP頁面的原URL與註冊的 servlet名相關聯。這樣，客戶機可以使用JSP頁面的普通名稱，但仍然激活定製的版本。例如，給定來自項目1的servlet定義，可以使用下面的 servlet-mapping定義：

Java代碼  

1. <servlet-mapping>   
2. <servlet-name>PageName</servlet-name>   
3. <url-pattern>/RealPage.jsp</url-pattern>   
4. </servlet-mapping>  

<servlet-mapping>
<servlet-name>PageName</servlet-name>
<url-pattern>/RealPage.jsp</url-pattern>
</servlet-mapping>

3）JSP頁使用jspInit而不是init。自動從JSP頁面創建的servlet或許已經使用了inti方法。所以，使用JSP聲明提供一個init方法是不合法的，必須制定jspInit方法。
爲了說明初始化JSP頁面的過程，程序清單5-9給出了一個名爲InitPage.jsp的JSP頁面，它包含一個jspInit方法且放置於 deployDemo Web應用層次結構的頂層。通常，http://host/deployDemo/InitPage.jsp 形式的URL將激活此頁面的不具備初始化參數訪問權的版本，從而將對firstName和emailAddress變量顯示null。可是， web.xml文件（程序清單5-10）分配了一個註冊名，而後將該註冊名與URL模式/InitPage.jsp相關聯。

Java代碼  

1. 程序清單5-9 InitPage.jsp   
2. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">   
3. <HTML>   
4. <HEAD><TITLE>JSP Init Test</TITLE></HEAD>   
5. <BODY BGCOLOR="#FDF5E6">   
6. <H2>Init Parameters:</H2>   
7. <UL>   
8. <LI>First name: <%= firstName %>   
9. <LI>Email address: <%= emailAddress %>   
10. </UL>   
11. </BODY></HTML>   
12. <%!   
13. private String firstName, emailAddress;   
14.   
15. public void jspInit() {   
16. ServletConfig config = getServletConfig();   
17. firstName = config.getInitParameter("firstName");   
18. emailAddress = config.getInitParameter("emailAddress");   
19. }   
20. %>  

程序清單5-9 InitPage.jsp
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD><TITLE>JSP Init Test</TITLE></HEAD>
<BODY BGCOLOR="#FDF5E6">
<H2>Init Parameters:</H2>
<UL>
<LI>First name: <%= firstName %>
<LI>Email address: <%= emailAddress %>
</UL>
</BODY></HTML>
<%!
private String firstName, emailAddress;

public void jspInit() {
ServletConfig config = getServletConfig();
firstName = config.getInitParameter("firstName");
emailAddress = config.getInitParameter("emailAddress");
}
%>

Java代碼  

1. 程序清單5-10 web.xml（說明JSP頁面的init參數的摘錄）   
2. <?xml version="1.0" encoding="ISO-8859-1"?>   
3. <!DOCTYPE web-app   
4. PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"  
5. "http://java.sun.com/dtd/web-app_2_3.dtd">   
6.   
7. <web-app>   
8. <!-- ... -->   
9. <servlet>   
10. <servlet-name>InitPage</servlet-name>   
11. <jsp-file>/InitPage.jsp</jsp-file>   
12. <init-param>   
13. <param-name>firstName</param-name>   
14. <param-value>Bill</param-value>   
15. </init-param>   
16. <init-param>   
17. <param-name>emailAddress</param-name>   
18. <param-value>gates@oracle .com</param-value>   
19. </init-param>   
20. </servlet>   
21. <!-- ... -->    
22. <servlet-mapping>   
23. <servlet-name> InitPage</servlet-name>   
24. <url-pattern>/InitPage.jsp</url-pattern>   
25. </servlet-mapping>   
26. <!-- ... -->   
27. </web-app>  

程序清單5-10 web.xml（說明JSP頁面的init參數的摘錄）
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>
<!-- ... -->
<servlet>
<servlet-name>InitPage</servlet-name>
<jsp-file>/InitPage.jsp</jsp-file>
<init-param>
<param-name>firstName</param-name>
<param-value>Bill</param-value>
</init-param>
<init-param>
<param-name>emailAddress</param-name>
<param-value>gates@oracle.com</param-value>
</init-param>
</servlet>
<!-- ... --> 
<servlet-mapping>
<servlet-name> InitPage</servlet-name>
<url-pattern>/InitPage.jsp</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>

 5.3 提供應用範圍內的初始化參數
一 般，對單個地servlet或JSP頁面分配初始化參數。指定的servlet或JSP頁面利用ServletConfig的 getInitParameter方法讀取這些參數。可是，在某些情形下，但願提供可由任意servlet或JSP頁面藉助ServletContext 的getInitParameter方法讀取的系統範圍內的初始化參數。
可利用context-param元素聲明這些系統範圍內的初始化值。context-param元素應該包含param-name、param-value以及可選的description子元素，以下所示：

Java代碼  

1. <context-param>   
2. <param-name>support-email</param-name>   
3. <param-value>blackhole@mycompany.com</param-value>   
4. </context-param>  

<context-param>
<param-name>support-email</param-name>
<param-value>blackhole@mycompany.com</param-value>
</context-param>

 web.xml內的元素必須以正確的次序聲明。但這裏應該注意，context-param元素必須出現任意與文檔有關的元 素（icon、display-name或description）以後及filter、filter-mapping、listener或 servlet元素以前。
5.4 在服務器啓動時裝載servlet
假如servlet或JSP頁面有一個要花很長時間執行的init （servlet）或jspInit（JSP）方法。例如，假如init或jspInit方法從某個數據庫或ResourceBundle查找產量。這種 狀況下，在第一個客戶機請求時裝載servlet的缺省行爲將對第一個客戶機產生較長時間的延遲。所以，可利用servlet的load-on- startup元素規定服務器在第一次啓動時裝載servlet。下面是一個例子。

Java代碼  

1. <servlet>   
2. <servlet-name> … </servlet-name>   
3. <servlet-class> … </servlet-class> <!-- Or jsp-file -->   
4. <load-on-startup/>   
5. </servlet>  

<servlet>
<servlet-name> … </servlet-name>
<servlet-class> … </servlet-class> <!-- Or jsp-file -->
<load-on-startup/>
</servlet>

 可 覺得此元素體提供一個整數而不是使用一個空的load-on-startup。想法是服務器應該在裝載較大數目的servlet或JSP頁面以前裝載較少 數目的servlet或JSP頁面。例如，下面的servlet項（放置在Web應用的WEB-INF目錄下的web.xml文件中的web-app元素 內）將指示服務器首先裝載和初始化SearchServlet，而後裝載和初始化由位於Web應用的result目錄中的index.jsp文件產生的 servlet。

Java代碼  

1. <servlet>   
2. <servlet-name>Search</servlet-name>   
3. <servlet-class>myPackage.SearchServlet</servlet-class> <!-- Or jsp-file -->   
4. <load-on-startup>1</load-on-startup>   
5. </servlet>   
6. <servlet>   
7. <servlet-name>Results</servlet-name>   
8. <servlet-class>/results/index.jsp</servlet-class> <!-- Or jsp-file -->   
9. <load-on-startup>2</load-on-startup>   
10. </servlet>  

<servlet>
<servlet-name>Search</servlet-name>
<servlet-class>myPackage.SearchServlet</servlet-class> <!-- Or jsp-file -->
<load-on-startup>1</load-on-startup>
</servlet>
<servlet>
<servlet-name>Results</servlet-name>
<servlet-class>/results/index.jsp</servlet-class> <!-- Or jsp-file -->
<load-on-startup>2</load-on-startup>
</servlet>

 6 聲明過濾器

servlet版本2.3引入了過濾器的概念。雖然全部支持servlet API版本2.3的服務器都支持過濾器，但爲了使用與過濾器有關的元素，必須在web.xml中使用版本2.3的DTD。
過 濾器可截取和修改進入一個servlet或JSP頁面的請求或從一個servlet或JSP頁面發出的相應。在執行一個servlet或JSP頁面以前， 必須執行第一個相關的過濾器的doFilter方法。在該過濾器對其FilterChain對象調用doFilter時，執行鏈中的下一個過濾器。若是沒 有其餘過濾器，servlet或JSP頁面被執行。過濾器具備對到來的ServletRequest對象的所有訪問權，所以，它們能夠查看客戶機名、查找 到來的cookie等。爲了訪問servlet或JSP頁面的輸出，過濾器可將響應對象包裹在一個替身對象（stand-in object）中，比方說把輸出累加到一個緩衝區。在調用FilterChain對象的doFilter方法以後，過濾器可檢查緩衝區，若有必要，就對它 進行修改，而後傳送到客戶機。
例如，程序清單5-11帝國難以了一個簡單的過濾器，只要訪問相關的servlet或JSP頁面，它就截取請求並在標準輸出上打印一個報告（開發過程當中在桌面系統上運行時，大多數服務器均可以使用這個過濾器）。

Java代碼  

1. 程序清單5-11 ReportFilter.java   
2. package moreservlets;   
3.   
4. import java.io.*;   
5. import javax.servlet.*;   
6. import javax.servlet.http.*;   
7. import java.util.*;   
8.   
9. /** Simple filter that prints a report on the standard output   
10. * whenever the associated servlet or JSP page is accessed.  
11. * <P>  
12. * Taken from More Servlets and JavaServer Pages  
13. * from Prentice Hall and Sun Microsystems Press,  
14. * http://www.moreservlets.com/.  
15. * © 2002 Marty Hall; may be freely used or adapted.  
16. */  
17.   
18. public class ReportFilter implements Filter {   
19. public void doFilter(ServletRequest request,   
20. ServletResponse response,   
21. FilterChain chain)   
22. throws ServletException, IOException {   
23. HttpServletRequest req = (HttpServletRequest)request;   
24. System.out.println(req.getRemoteHost() +   
25. " tried to access " +   
26. req.getRequestURL() +   
27. " on " + new Date() + ".");   
28. chain.doFilter(request,response);   
29. }   
30.   
31. public void init(FilterConfig config)   
32. throws ServletException {   
33. }   
34.   
35. public void destroy() {}   
36. }  

程序清單5-11 ReportFilter.java
package moreservlets;

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.util.*;

/** Simple filter that prints a report on the standard output 
* whenever the associated servlet or JSP page is accessed.
* <P>
* Taken from More Servlets and JavaServer Pages
* from Prentice Hall and Sun Microsystems Press,
* http://www.moreservlets.com/.
* © 2002 Marty Hall; may be freely used or adapted.
*/

public class ReportFilter implements Filter {
public void doFilter(ServletRequest request,
ServletResponse response,
FilterChain chain)
throws ServletException, IOException {
HttpServletRequest req = (HttpServletRequest)request;
System.out.println(req.getRemoteHost() +
" tried to access " +
req.getRequestURL() +
" on " + new Date() + ".");
chain.doFilter(request,response);
}

public void init(FilterConfig config)
throws ServletException {
}

public void destroy() {}
}

 一 旦創建了一個過濾器，能夠在web.xml中利用filter元素以及filter-name（任意名稱）、file-class（徹底限定的類名）和 （可選的）init-params子元素聲明它。請注意，元素在web.xml的web-app元素中出現的次序不是任意的；容許服務器（但不是必需的） 強制所需的次序，而且實際中有些服務器也是這樣作的。但這裏要注意，全部filter元素必須出如今任意filter-mapping元素以前， filter-mapping元素又必須出如今全部servlet或servlet-mapping元素以前。
例如，給定上述的ReportFilter類，可在web.xml中做出下面的filter聲明。它把名稱Reporter與實際的類ReportFilter（位於moreservlets程序包中）相關聯。
<filter>
<filter-name>Reporter</filter-name>
<filter-class>moresevlets.ReportFilter</filter-class>
</filter>
一旦命名了一個過濾器，可利用filter-mapping元素把它與一個或多個servlet或JSP頁面相關聯。關於此項工做有兩種選擇。
首 先，可以使用filter-name和servlet-name子元素把此過濾器與一個特定的servlet名（此servlet名必須稍後在相同的 web.xml文件中使用servlet元素聲明）關聯。例如，下面的程序片段指示系統只要利用一個定製的URL訪問名爲SomeServletName 的servlet或JSP頁面，就運行名爲Reporter的過濾器。

Java代碼  

1. <filter-mapping>   
2. <filter-name>Reporter</filter-name>   
3. <servlet-name>SomeServletName</servlet-name>   
4. </filter-mapping>  

<filter-mapping>
<filter-name>Reporter</filter-name>
<servlet-name>SomeServletName</servlet-name>
</filter-mapping>

 其次，可利用filter-name和url-pattern子元素將過濾器與一組servlet、JSP頁面或靜態內容相關聯。例如，相面的程序片斷指示系統只要訪問Web應用中的任意URL，就運行名爲Reporter的過濾器。

Java代碼  

1. <filter-mapping>   
2. <filter-name>Reporter</filter-name>   
3. <url-pattern>/*</url-pattern>   
4. </filter-mapping>  

<filter-mapping>
<filter-name>Reporter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

 例 如，程序清單5-12給出了將ReportFilter過濾器與名爲PageName的servlet相關聯的web.xml文件的一部分。名字 PageName依次又與一個名爲TestPage.jsp的JSP頁面以及以模式http: //host/webAppPrefix/UrlTest2/ 開頭的URL相關聯。TestPage.jsp的源代碼已經JSP頁面命名的談論在前面的3節"分配名稱和定製的URL"中給出。事實上，程序清單5- 12中的servlet和servlet-name項從該節原封不動地拿過來的。給定這些web.xml項，可看到下面的標準輸出形式的調試報告（換行是 爲了容易閱讀）。
audit.irs.gov tried to access 
http://mycompany.com/deployDemo/UrlTest2/business/tax-plan.html
on Tue Dec 25 13:12:29 EDT 2001.
程序清單5-12 Web.xml（說明filter用法的摘錄）
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>
<filter>
<filter-name>Reporter</filter-name>
<filter-class>moresevlets.ReportFilter</filter-class>
</filter>
<!-- ... -->
<filter-mapping>
<filter-name>Reporter</filter-name>
<servlet-name>PageName</servlet-name>
</filter-mapping>
<!-- ... -->
<servlet>
<servlet-name>PageName</servlet-name>
<jsp-file>/RealPage.jsp</jsp-file>
</servlet>
<!-- ... -->
<servlet-mapping>
<servlet-name> PageName </servlet-name>
<url-pattern>/UrlTest2/*</url-pattern>
</servlet-mapping>
<!-- ... -->
</web-app>


7 指定歡迎頁

假 如用戶提供了一個像http: //host/webAppPrefix/directoryName/ 這樣的包含一個目錄名但沒有包含文件名的URL，會發生什麼事情呢？用戶能獲得一個目錄表？一個錯誤？仍是標準文件的內容？若是獲得標準文件內容，是 index.html、index.jsp、default.html、default.htm或別的什麼東西呢？
Welcome-file-list 元素及其輔助的welcome-file元素解決了這個模糊的問題。例如，下面的web.xml項指出，若是一個URL給出一個目錄名但未給出文件名，服 務器應該首先試用index.jsp，而後再試用index.html。若是二者都沒有找到，則結果有賴於所用的服務器（如一個目錄列表）。
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
<welcome-file>index.html</welcome-file>
</welcome-file-list>
雖然許多服務器缺省遵循這種行爲，但不必定必須這樣。所以，明確地使用welcom-file-list保證可移植性是一種良好的習慣。

8 指定處理錯誤的頁面

現 在我瞭解到，你在開發servlet和JSP頁面時從不會犯錯誤，並且你的全部頁面是那樣的清晰，通常的程序員都不會被它們的搞糊塗。可是，是人總會犯錯 誤的，用戶可能會提供不合規定的參數，使用不正確的URL或者不能提供必需的表單字段值。除此以外，其它開發人員可能不那麼細心，他們應該有些工具來克服 本身的不足。
error-page元素就是用來克服這些問題的。它有兩個可能的子元素，分別是：error-code和exception- type。第一個子元素error-code指出在給定的HTTP錯誤代碼出現時使用的URL。第二個子元素excpetion-type指出在出現某個 給定的Java異常但未捕捉到時使用的URL。error-code和exception-type都利用location元素指出相應的URL。此 URL必須以/開始。location所指出的位置處的頁面可經過查找HttpServletRequest對象的兩個專門的屬性來訪問關於錯誤的信息， 這兩個屬性分別是：javax.servlet.error.status_code和javax.servlet.error.message。
可回憶一下，在web.xml內以正確的次序聲明web-app的子元素很重要。這裏只要記住，error-page出如今web.xml文件的末尾附近，servlet、servlet-name和welcome-file-list以後便可。

8.1 error-code元素
爲了更好地瞭解error-code元素的值，可考慮一下若是不正確地輸入文件名，大多數站點會做出什麼反映。這樣作通常會出現一個404錯誤信息，它表示不能找到該文件，但幾乎沒提供更多有用的信息。另外一方面，能夠試一下在www.microsoft.com、www.ibm.com 處或者特別是在www.bea.com 處輸出未知的文件名。這是會得出有用的消息，這些消息提供可選擇的位置，以便查找感興趣的頁面。提供這樣有用的錯誤頁面對於Web應用來講是頗有價值得。 事實上rm-error-page子元素）。由form-login-page給出的HTML表單必須具備一個j_security_check的 ACTION屬性、一個名爲j_username的用戶名文本字段以及一個名爲j_password的口令字段。
例如，程序清單5-19指示服務器使用基於表單的驗證。Web應用的頂層目錄中的一個名爲login.jsp的頁面將收集用戶名和口令，而且失敗的登錄將由相同目錄中名爲login-error.jsp的頁面報告。

程序清單5-19 web.xml（說明login-config的摘錄）
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>
<!-- ... -->
<security-constraint> ... </security-constraint>
<login-config>
<auth-method> FORM </auth-method>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/login-error.jsp</form-error-page>
</form-login-config>
</login-config>
<!-- ... -->
</web-app>


9.2 限制對Web資源的訪問
現 在，能夠指示服務器使用何種驗證方法了。"了不得，"你說道，"除非我能指定一個來收到保護的 URL，不然沒有多大用處。"沒錯。指出這些URL並說明他們應該獲得何種保護正是security-constriaint元素的用途。此元素在 web.xml中應該出如今login-config的緊前面。它包含是個可能的子元素，分別是：web-resource-collection、 auth-constraint、user-data-constraint和display-name。下面各小節對它們進行介紹。
l web-resource-collection
此 元素肯定應該保護的資源。全部security-constraint元素都必須包含至少一個web-resource-collection項。此元素 由一個給出任意標識名稱的web-resource-name元素、一個肯定應該保護的URL的url-pattern元素、一個指出此保護所適用的 HTTP命令（GET、POST等，缺省爲全部方法）的http-method元素和一個提供資料的可選description元素組成。例如，下面的 Web-resource-collection項（在security-constratint元素內）指出Web應用的proprietary目錄中 全部文檔應該受到保護。
<security-constraint>
<web-resource-coolection>
<web-resource-name>Proprietary</web-resource-name>
<url-pattern>/propritary/*</url-pattern>
</web-resource-coolection>
<!-- ... -->
</security-constraint>
重 要的是應該注意到，url-pattern僅適用於直接訪問這些資源的客戶機。特別是，它不適合於經過MVC體系結構利用 RequestDispatcher來訪問的頁面，或者不適合於利用相似jsp:forward的手段來訪問的頁面。這種不勻稱若是利用得當的話頗有好 處。例如，servlet可利用MVC體系結構查找數據，把它放到bean中，發送請求到從bean中提取數據的JSP頁面並顯示它。咱們但願保證決不直 接訪問受保護的JSP頁面，而只是經過創建該頁面將使用的bean的servlet來訪問它。url-pattern和auth-contraint元素 可經過聲明不容許任何用戶直接訪問JSP頁面來提供這種保證。可是，這種不勻稱的行爲可能讓開發人員放鬆警戒，使他們偶然對應受保護的資源提供不受限制的 訪問。 
l auth-constraint
儘管web-resource-collention元素質出了哪些URL應該受到保護， 可是auth-constraint元素卻指出哪些用戶應該具備受保護資源的訪問權。此元素應該包含一個或多個標識具備訪問權限的用戶類別role- name元素，以及包含（可選）一個描述角色的description元素。例如，下面web.xml中的security-constraint元素部 門規定只有指定爲Administrator或Big Kahuna（或二者）的用戶具備指定資源的訪問權。
<security-constraint>
<web-resource-coolection> ... </web-resource-coolection>
<auth-constraint>
<role-name>administrator</role-name>
<role-name>kahuna</role-name>
</auth-constraint>
</security-constraint>
重要的是認識到，到此爲止，這個過程的可移植部分結束了。服務器怎樣肯定哪些用戶處於任何角色以及它怎樣存放用戶的口令，徹底有賴於具體的系統。
例如，Tomcat使用install_dir/conf/tomcat-users.xml將用戶名與角色名和口令相關聯，正以下面例子中所示，它指出用戶joe（口令bigshot）和jane（口令enaj）屬於administrator和kahuna角色。
<tomcat-users>
<user name="joe" password="bigshot" roles="administrator,kahuna" />
<user name="jane" password="enaj" roles="kahuna" />
</tomcat-users>
l user-data-constraint
這 個可選的元素指出在訪問相關資源時使用任何傳輸層保護。它必須包含一個transport-guarantee子元素（合法值爲NONE、 INTEGRAL或CONFIDENTIAL），而且可選地包含一個description元素。transport-guarantee爲NONE值將 對所用的通信協議不加限制。INTEGRAL值表示數據必須以一種防止截取它的人閱讀它的方式傳送。雖然原理上（而且在將來的HTTP版本中），在 INTEGRAL和CONFIDENTIAL之間可能會有差異，但在當前實踐中，他們都只是簡單地要求用SSL。例如，下面指示服務器只容許對相關資源作 HTTPS鏈接：
<security-constraint>
<!-- ... -->
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
l display-name
security-constraint的這個不多使用的子元素給予可能由GUI工具使用的安全約束項一個名稱。
9.3 分配角色名
迄今爲止，討論已經集中到徹底由容器（服務器）處理的安全問題之上了。但servlet以及JSP頁面也可以處理它們本身的安全問題。
例 如，容器可能容許用戶從bigwig或bigcheese角色訪問一個顯示主管人員額外緊貼的頁面，但只容許bigwig用戶修改此頁面的參數。完成這種 更細緻的控制的一種常見方法是調用HttpServletRequset的isUserInRole方法，並據此修改訪問。
Servlet的 security-role-ref子元素提供出如今服務器專用口令文件中的安全角色名的一個別名。例如，假如編寫了一個調用 request.isUserInRole（"boss"）的servlet，但後來該servlet被用在了一個其口令文件調用角色manager而不 是boss的服務器中。下面的程序段使該servlet可以使用這兩個名稱中的任何一個。
<servlet>
<!-- ... -->
<security-role-ref>
<role-name>boss</role-name> <!-- New alias -->
<role-link>manager</role-link> <!-- Real name -->
</security-role-ref>
</servlet>
也能夠在web-app內利用security-role元素提供將出如今role-name元素中的全部安全角色的一個全局列表。分別地生命角色使高級IDE容易處理安全信息。

10 控制會話超時

如 果某個會話在必定的時間內未被訪問，服務器可把它扔掉以節約內存。可利用HttpSession的setMaxInactiveInterval方法直接 設置個別會話對象的超時值。若是不採用這種方法，則缺省的超時值由具體的服務器決定。但可利用session-config和session- timeout元素來給出一個適用於全部服務器的明確的超時值。超時值的單位爲分鐘，所以，下面的例子設置缺省會話超時值爲三個小時（180分鐘）。
<session-config>
<session-timeout>180</session-timeout>
</session-config>

11 Web應用的文檔化

越 來越多的開發環境開始提供servlet和JSP的直接支持。例子有Borland Jbuilder Enterprise Edition、Macromedia UltraDev、Allaire JRun Studio（寫此文時，已被Macromedia收購）以及IBM VisuaAge for Java等。
大量的web.xml元素不只是爲服務器設計的，並且仍是爲可視開發環境設計的。它們包括icon、display-name和discription等。
可回憶一下，在web.xml內以適當地次序聲明web-app子元素很重要。不過，這裏只要記住icon、display-name和description是web.xml的web-app元素內的前三個合法元素便可。
l icon
icon元素指出GUI工具可用來表明Web應用的一個和兩個圖像文件。可利用small-icon元素指定一幅16 x 16的GIF或JPEG圖像，用large-icon元素指定一幅32 x 32的圖像。下面舉一個例子： 
<icon>
<small-icon>/images/small-book.gif</small-icon>
<large-icon>/images/tome.jpg</large-icon>
</icon>
l display-name
display-name元素提供GUI工具可能會用來標記此Web應用的一個名稱。下面是個例子。
<display-name>Rare Books</display-name>
l description
description元素提供解釋性文本，以下所示：
<description>
This Web application represents the store developed for
rare-books.com, an online bookstore specializing in rare
and limited-edition books.
</description>

12 配置下載文件

Xml代碼  

1. <mime-mapping>    
2. <extension>doc</extension>  
3. <mime-type>application/msword</mime-type>    
4. </mime-mapping>    
5. <mime-mapping>    
6. <extension>xls</extension>    
7. <mime-type>application/msexcel</mime-type>    
8. </mime-mapping>    
9. <mime-mapping>    
10. <extension>pdf</extension>    
11. <mime-type>application/pdf</mime-type>    
12. </mime-mapping>  
13. <mime-mapping>    
14. <extension>zip</extension>    
15. <mime-type>application/zip</mime-type>    
16. </mime-mapping>  
17. <mime-mapping>    
18. <extension>rar</extension>    
19. <mime-type>application/rar</mime-type>    
20. </mime-mapping>  
21. <mime-mapping>    
22. <extension>txt</extension>    
23. <mime-type>application/txt</mime-type>    
24. </mime-mapping>  
25. <mime-mapping>    
26. <extension>chm</extension>    
27. <mime-type>application/mshelp</mime-type>  
28. </mime-mapping>    
29. <mime-mapping>  
30.  <extension>mp3</extension>  
31.  <mime-type>audio/x-mpeg</mime-type>  
32. </mime-mapping>  
33. 普通文本 .txt text/plain    
34. RTF文本 .rtf application/rtf    
35. GIF圖形 .gif image/gif    
36. JPEG圖形 .ipeg,.jpg image/jpeg    
37. au聲音文件 .au audio/basic    
38. MIDI音樂文件 mid,.midi audio/midi,audio/x-midi    
39. RealAudio音樂文件 .ra, .ram audio/x-pn-realaudio    
40. MPEG文件 .mpg,.mpeg video/mpeg    
41. AVI文件 .avi video/x-msvideo    
42. GZIP文件 .gz application/x-gzip    
43. TAR文件 .tar application/x-tar